Lien Ce que l'on sait de la fuite de données qui concerne 20 millions de comptes Facebook français
5
avr.
2021
Lien Code problématique (failles de sécurité, code GPL) introduit dans FreeBSD (13 rc)
29
mar.
2021
Journal SQL Server sous Linux : enjeux de sécurité
16
mar.
2021
TL;DR: Avec Microsoft SQL Server, la sécurité est une option. Et une option payante.
Microsoft aime Linux, nous dit-il, et il nous permet maintenant d'installer nativement son serveur de base de données SQL Server (cf. cette vidéo technique pour comprendre comment ils on fait le portage). Seulement, la configuration par défaut n'est pas sécurisée du tout. Petite revue de quelques éléments à rectifier quand vous installez et utilisez SQL Server. La plupart de ces conseils sont aussi valables (…)
Journal Statistiques de tentatives de connexion SSH par des bots
6
mar.
2021
Ceci est une compilation de tentatives de connexion SSH issus de fichier /var/log/auth.log récupéré en mai 2020, août 2020 et février 2021 sur deux serveurs différents.
Ces statistiques (sauf pour root et www-data) sont issues de la commande :
grep "Invalid user" *.log | awk 'BEGIN { FS=" " } { print $8}' | sort | uniq --count | sort --reverse --numeric-sortBien que ces statistiques sont à prendre avec des pincettes, les ordres de grandeur semblent cohérents. J'ai ignoré (…)
Lien Firefox 86 web browser activates a new protection to mitigate the so-called Stack Clash attacks
23
fév.
2021
Lien des instances centreon compromises
16
fév.
2021
Forum général.cherche-logiciel Configuration de ClamAV pour poste de travail
13
fév.
2021
Ce sujet de forum reprend mon commentaire du journal Linux et la sécurité : un désert et un oasis que je pense avoir posté trop longtemps après les autres commentaires pour avoir une réponse.
Malgré la réputation de sécurité de Linux, un antivirus sur les postes de travail Linux me paraît de plus en plus nécessaire, ou en tout cas à envisager.
J'ai essayé dernièrement de configurer ClamAV (l'antivirus libre pour ceux qui ne connaissent pas) sur des postes de (…)
Lien Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies
11
fév.
2021
Lien +255 % d’attaques rançongiciels en 2020 d’après l’ANSSI
8
fév.
2021
Lien Un cadre de Cdiscount suspecté d’avoir dérobé les données de 33 millions de clients
8
fév.
2021
Journal Assurer la sécurité informatique sur le modèle de la sécurité alimentaire
2
fév.
2021
En regardant ce qui permet aux attaquants de réussir à pénétrer ou altérer des systèmes informatiques, on constate qu'une des causes principales est l'utilisation de logiciels ou technologies obsolètes. Nous, développeurs et administrateurs, savons identifier les outils trop vieux et plus assez sécurisés, donc dangereux, mais cette culture est difficilement partagée avec les utilisateurs et décideurs.
Pour pallier à ce problème, je propose qu'on se mette à utiliser deux outils simples et efficaces en matière de sécurité alimentaire :
- les (…)
Contrat vaccinal Commission européenne / AstraZeneca, comment (ne pas) masquer les infos d'un PDF
31
jan.
2021
En 2012, j’avais écrit cette dépêche Rapport PDF de l’Hadopi, ou comment (ne pas) masquer une adresse IP qui montrait une erreur de caviardage d’information d’un document au format PDF par l’HADOPI, et qui discutait ensuite des deux mythes autour des fichiers PDF : une prétendue inaltérabilité et le caviardage à la truelle.
L’actualité récente nous permet de revenir une nouvelle fois sur le sujet.
- cela pourrait être à propos de cette discussion surréaliste sur un réseau social bien connu (« (question) vous pensez qu’on peut lire sous le bloc noir de ce document administratif ? (réponse) des fois le caviardage est mal fait (riposte) arrêtez d’aider les administrations ») ;
- mais je pense surtout à la Commission européenne qui a publié une version caviardée du contrat vaccinal avec AstraZeneca, version qui est plus bavarde que prévu. L’info serait accessible « en utilisant simplement la fonction signets d’Acrobat Reader », comme évoqué là ou plus largement dans la presse 1, 2, 3, 4, 5, 6, ou 7), et si le document en ligne a été remplacé, une copie de la première version est toujours en ligne.
Profitons-en pour rappeler que depuis sa version 6.3, LibreOffice offre une fonction de caviardage (voir les annonces dans ce journal et cette dépêche).
OpenWifiPass, l'accès Wifi facile et des bâtons dans la pomme
30
jan.
2021
Dans un journal au menu d’à côté, on parlait des imprimantes sans pilotes (driverless) qui se répandent doucement. Il y a aussi les scanners sans pilotes qui doivent suivre. Mais chez la marque à la pomme, ils sont encore plus science-fiction : ils ont l’accès WiFi « codeless ». Si, si, sur iOS pas besoin d’ânonner le code super-cali-solidistique qui verrouille l’accès WiFi : en un clic de communication Bluetooth, vous donnez l’accès aux ami(e)s. Agréable, pratique et reposant.
Eh bien malgré les verrous d’Apple, Jannik Lorenz a eu la bonne idée de consacrer sa thèse préparée au SEEMO Lab (Secure Mobile Networking Lab) à faire de l’ingénierie inverse sur le protocole. Résultat, ça marche partout maintenant ! L’outil s'appelle OpenWifiPass, il est codé en Python et tourne sous Linux (GPLv3). Attention c’est une preuve de concept, ne pas l’utiliser en vrai (ou alors par goût du risque).
 |
Mais d’où ça sort ? Là-bas à Darmstadt les chercheurs de l'Open Wireless Link ont eu l’idée de déconstruire l’Apple Wireless Direct Link (AWDL) pour faire bénéficier toutes les plateformes de cet écosystème bien imaginé. OpenWifiPass est l'une des réussites.
Journal Comment j'ai (presque) réussi à ne plus retenir de mot de passe pour mes services en ligne
21
jan.
2021
Après quelques années d'errance, je suis presque au bout de mon périple pour atteindre l'objectif suivant:
- Ne plus avoir de mot de passe à retenir
- Avoir un niveau de sécurité supérieur ou égal au niveau de sécurité offert par un mot de passe seul
- Avoir un spectre de moyens d'authentification suffisamment large pour pouvoir me connecter depuis différents supports.
Ce journal est donc un retour d'expérience et une description des différents outils que j'ai mis en place pour atteindre l'objectif (…)
Journal Retour sur rC3, le 37e CCC mais en distant
16
jan.
2021
Entre les fêtes de fin d’année devait avoir lieu le traditionnel Chaos Communication Congress (CCC), le 37ᵉ, par le Chaos Computer Club (CCC). Mais pour cause de pandémie, l’événement a eu lieu en ligne et a été rebaptisé rC3. Les sujets abordés sont variés : féminisme, Bruce Schneier, manifestations en Bulgarie, rançongiciel, conflit Arménie/Azerbaïdjan, AES, Cory Doctorow, jeu vidéo, les Yes Men, fuzzing, contenus pédagogiques, climat, rayons X, chaîne de blocs, Wikileaks, brevets, matériel ouvert, Digital Service (…)